计算机验证与数据完整性十大误区说课.doc

计算机验证与数据完整性十大误区 附录《计算机化系统》已于2015年12月1日生效，相关的“技术标准、管理文件、操作SOP”，大家突击一下也就补齐了，关键是“计算机验证和数据完整性”，把很多人都快逼疯了！ 各种培训课件满天飞、各家供应商八仙过海，技术文章掺杂了恐吓语言，那边厢闹哄哄风生水起，这边厢迷糊糊诚惶诚恐，我都快被吓傻了！ 对于计算机验证，对于数据完整性，我陆陆续续也参加了6、7次的培训，质量管理的听不懂计算机基础知识和数据完整性技术手段，技术人员听不懂GMP知识和验证程序，技术和GMP之间的距离，确实还很远！ 每次我都会提醒大家，计算机并不是什么特殊的东西，他只是一种自动化控制工具，是设备或者系统不可分割的一部分，是设备或者系统的一个关键部件，计算机已经渗透到我们生活和工作的方方面面，对他的管理和验证，没有必要搞得那么神神秘秘、高深莫测，蒲公英论坛早有文章揭开了“计算机验证的神秘面纱”，很多人还是执迷不悟！ 误区一 计算机化系统要有一套完整、独立的文件体系 很多人认为计算机化系统必须有单独的《计算机化系统管理规程》、《计算机化系统验证主计划》、《计算机化系统变更管理规程》、《计算机化系统偏差管理规程》、《计算机化系统操作管理规程》、《计算机化系统维护管理规程》……单独的预防性维护计划、单独的供应商评估文件、单独的人员岗位职责和资质确认规程……甚至认为，每一个计算机系统要有单独的风险评估文件、每一个计算机系统要有单独的与被控对象分开的操作SOP、与被控对象分开URS/FAT/DQ/IQ/OQ/PQ，反正，只要别的设备有的，计算机化系统也要有，恨不得为“计算机化系统”另外建立一套完整的独立的GMP体系文件！ 误区二 新的法规明确提出了计算机化系统验证的要求，很多人认为一定要有与被控对象分开的、独立的计算机系统的URS/FAT/DQ/IQ/OQ/PQ，殊不知，离开了自控系统，设备根本无法操作，更无法单独做OQ/PQ，而单独做计算机系统的确认与验证，离开了被控对象，除了IQ，其它做得都毫无意义。 《确认与验证》附录明确规定： 企业应当对新的或改造的厂房、设施、设备按照预定用途和本规范及相关法律法规要求制定用户需求，并经审核、批准。 新的或改造的厂房、设施、设备需进行安装确认。 企业应当证明厂房、设施、设备的运行符合设计标准。（证明手段不只是确认与验证，日常的所有活动都可以提供更多的证明）。 而对于旧的系统，“对设施、设备、工艺、清洁方法应当进行定期评估，以确认它们持续保持在验证状态。”劳民伤财地“补做”不必要的确认与验证，投入成本与计算机系统的质量风险严重不平衡，而且“日常运行应该才是最好的验证！” 那么我们应该怎么做呢？ 1、对所有涉及计算机控制的设备、系统登记造册、做好分类台账，制定确认与验证策略，只有用来满足生产质量活动、同时需要符合GMP规范要求的计算机系统才要纳入附录《计算机化系统》的管理范畴。 2、收集建设期及现有的计算机化系统的工程文件、技术资料、运维记录、历史数据、偏差、变更活动的记录……进行审核。 3、采用差距分析的方法对照计算机系统相关法规进行“法规符合性审核”，如果有缺陷就纳入整改。 4、对于生产工艺、产品质量、数据完整性方面的风险进行回顾审核或者再评估。 5、对于以上“审核、回顾、再评估”活动中发现的“不符合项、缺陷项、不可接受的风险”进行处理，然后根据评估结果对必要的、相关的、部分的项目进行确认和验证。 6、持续的回顾审核与评估！ 误区三 这把系统“权限管理”作为计算机化系统安全管理的唯一手段  计算机系统的访问控制、权限管理当然十分重要，包括房间的限制进入、门禁管理，包括防火防盗防黑客……这些肯定是很重要的，但是更重要的是，我们的数据在形成、采集、录入、修改、存储、备份、转移、检索、计算、处理、输出、引用、失效、删除、恢复、报废……每一个过程中，除了权限设置，有没有对产生数据的装置进行校准，有没有对处理数据的PLC（计算机）进行校准、有没有对人员的行为习惯进行培养（而不仅仅是培训）、有没有对每一步骤的操作方法进行严格的规定？把硬件设施的物理安全性、软件的逻辑安全性看的过重，忽略了很多本身应该做的工作。 岂不知数据的安全性，更大程度上取决于权力和利益。通过各种科学的方式方法让作假成为“不需要”远比通过软硬兼施让作假变得“不可能”更重要! 误区四 这把电子“数据完整性”与“审计追踪”划等号  但你是否知道：纸质记录中的任何修改、删除都必须使原始数据清晰可读，并记录进行修改的人员、修改日期及修改原因，根据需要证实并说明变化的理由，这本身就是最好的审计追踪。? ? 而说到数据完整性，纸质记录则更需要我们特别关注： 1、手工纸质数据和电子数据在数据完整性方面的要求是一致的。（诚信的